SÉCURITÉ
Les menaces sur le poste client pouvaient permettre quelques heures voire quelques jours de décalage entre menace et antidote. Les ransomwares ont changé la donne. En effet, que l’antidote (ou « signature ») du malware arrive une heure ou une minute plus tard, le mal est déjà fait, et ce de façon irréparable.
Avec le ransomware, une fois les fichiers cryptés et la clé du cryptage envoyée à l’attaquant, il ne reste que deux choix : payer ou revenir vers une sauvegarde antérieure des données. Les outils et méthodes de détection antivirales ont maintenant presque vingt ans d’existence. Et pourtant leur fiabilité n’a pas augmenté au fil des années.
Au contraire, les statistiques d’infections d’entreprises, pourtant bien équipées en outils de protection, sont plutôt alarmantes.
Aujourd’hui tous les experts sont d’accord pour dire que les virus ne peuvent pas être détectés de manière suffisamment fiable. Que faire alors ? L’approche de containerisation d’applications propose un nouveau concept – peut-être le plus innovant depuis le début de la lutte antivirale sur le poste client : ne rien détecter. Ne pas même essayer !
« Changement de paradigme :
plutôt qu’essayer d’arrêter,
arrêter d’essayer ! »Eyal Dotan, rédacteur, expert et développeur en sécurité.
CTO de Bufferzone.
Pas d’analyse de signature, pas de détection de comportement, pas d’intelligence. Simplement dédier un environnement isolé aux applications et vecteurs d’où peuvent provenir les malwares : navigateur Web, pièces jointes, medias amovibles – tout ce qui provient de ces vecteurs se verra exécuté dans une zone du poste client isolée du reste de la machine.
Approche simple ? Radicale ?
De nos jours tout type de travail doit être en permanence connecté à l’Internet. C’est là que la containerisation d’applications prend toute son importance, permettant de connecter deux pseudo-environnements : l’un pour le travail et les données entreprise, l’autre pour la connexion Internet. Le tout de manière transparente pour l’utilisateur et légère en termes de ressources et coûts.
Le concept rappelle la virtualisation classique. Mais maintenir une machine virtuelle sur chaque poste client serait une solution coûteuse en ressources, licences, maintenance, et non transparente. Alors que la containerisation ne crée pas un espace virtuel et offre une solution plus rapide, conviviale et transparente pour les utilisateurs finaux.
Exemple « live » de ransomware
Les technologies de containerisation ne sont pas dédiées uniquement à la menace ransomware. Mais elles sont spécialement efficaces pour les contrer. Sur une machine protégée par un produit de containerisation (BUFFER ZONE) nous avons testé un réel ransomware transmis dans une pièce jointe DOCX. Le ransomware s’exécute comme prévu, crypte les fichiers et annonce à l’utilisateur qu’il doit payer. Mais alors qu’il « pense » avoir crypté les fichiers, on retrouve simplement les copies cryptées des fichiers dans l’espace du container (à droite sur la capture d’écran ci-dessus). Les fichiers originaux restent bien intacts (à gauche). Cette fois-ci, c’est donc l’utilisateur qui a la main haute, et une simple réinitialisation du container suffira pour poursuivre son travail sur la machine.
La containerisation d’applications expliquée
Le principe est simple : les applications ou fichiers provenant d’Internet ou de médias amovibles sur la machine sont désignés pour s’ouvrir uniquement en mode pseudo-virtuel. Lors de leur ouverture par l’utilisateur (ou par une vulnérabilité ou téléchargement), ceux-ci s’exécutent dans un environnement pseudo-virtuel. Toute modification de fichiers ou de la base de registres est alors simplement simulée, conservée au sein de cette zone virtuelle. Les applications s’exécutant dans cet espace isolé peuvent se voir et communiquer entre elles, créant ainsi un réel écosystème de données et d’applications Internet isolées. La plupart des produits de containerisation enregistrent uniquement les modifications qui sont à simuler ; ainsi, il n’y a pas de dédoublement de données. Pour réinitialiser un environnement infecté ou corrompu, il suffit alors de vider le container (c’est-à-dire supprimer les modifications qui y ont été enregistrées), ce qui prend généralement quelques secondes, puis on repart sur un container propre.
